xxxx商场。
信息安全建设项目方案书。
北京中辰华创科技****。
第一:项目建设背景。
xxxx商场是一家大型集团化公司,目前在yy进行规模化运营,是集品质购物、高端餐饮、休闲娱乐、体验观光于一体的一站式购物广场,将成为市民休闲购物娱乐的理想去处。随着业务的拓展和规模的扩大,商场信息化程度不断深入,随着而来的是需要进行严格安全防护和管理,当前xxxx商场面临着新建和深化网络安全防护的任务,主要面临问题如下:
1、互联网出口安全威胁:商场内部员工办公安全保密管理以及外部顾客快捷接入安全管理,需要对统一的互联网出口进行安全访问控制以及外部入侵进行防护;
2、内部数据传输威胁:商场内部员工办公文件敏感信息安全防护,防止通过互联网通道如即时通讯、邮件等方式将内部商业信息传送;
3、移动存储介质威胁:商场内部员工移动存储介质如u盘、移动硬盘等使用缺乏管理,导致病毒交叉感染,数据传输缺乏监控;
4、病毒流窜安全威胁:商场病毒统一安全防护,在对终端计算机进行病毒防护、补丁修复,同时在网关出口进行统一的病毒过滤;
5、外来终端pc带来威胁:内部办公网经常有外来计算机随意接入内部网络,存在数据非法访问(非授权访问)和外来攻击威胁(如病毒、木马等);
6、it运维管理威胁:商场有自有中心机房,核心交换机和各种应用服务器,同时,随着安全设备的部署,如何保证这些设备实时正常运行,需要建立集中的it运维管理系统,对网络设备、服务器、安全设备进行统一的管理和运维监控。
第二:建设标准(等级保护二级)
本次安全系统建设,在满足商场办公环境的业务和安全基础上,按照公安机关等级保护要求进行网络性能、安全防护实施。计算机等级保护是针对基础网络、信息系统的安全运行和使用提出保护要求,在xxxx商场网络中,通过界定的使用人群、涵盖的应用系统,并保障商场信息管理外的正常办公所需,在此基础上购置相关资源,新建安全网络,新建或者升级主要应用系统,使其在物理环境、网络、系统、应用、数据、终端和系统集成六方面均达到对应等级要求;完善该网络相关安全保障体系和日常管理办法。
通过等级保护要求的建设实施,进一步提高商场基础网络和信息系统等级保护符合性要求,将整个网络系统的可用状况和安全状况提升到一个较高的水平,并尽可能地消除或降低系统的安全风险。等级保护二级技术建设要求。
第三:xxxx商场安全防护需求。
3.1网络vlan划分。
通过使用vlan,可以把物理意义上的一个网络划分成很多个逻辑意义上的子网,使网络的边界更加清晰。vlan的出现使交换机承担网络的分段工作,而不再使用路由器来完成。各vlan间是逻辑隔离的,相同vlan内的主机间数据传输不会被其他vlan上的主机得到,因此减少了整个大网络内部各种相互攻击行为发生的可能性,增强了网络的安全性。
另外各vlan分属不同的广播域,限制了各种广播报文的流转,能够减少网络流量。
3.2重要边界及出口安全防护。
网络出口边界保护的有效控制措施包括防火墙、鉴别/访问控制等。有效的监督措施包括基于网络的入侵防护系统(ips)、漏洞扫描、网关防病毒等。这些机制可以单独使用或结合使用,可以对边界内的各类系统提供保护。
防火墙是一种部署在不同安全域之间的高级访问控制设备,能根据制定好的安全策略控制不同安全域之间的访问行为。网络中使用防火墙将用户域和服务器域隔离开来,并制定相应的访问规则。服务器域分为安全管理域和应用服务域。
安全管理域包括一些应用无关的服务器,如ids、防火墙控制台等;应用服务域包括各应用服务器、数据库服务器等。
3.3上网行为审计管理。
在享受互联网带来的巨大便利的时候,由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、**传播非法、黄色信息、机密信息泄露等问题日益突出,并由此产生法律、名誉、经济等各方面问题。特别是《互联网安全保护技术措施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。
这对于互联网管理,上网行为规范,提高网络利用率等方面提出了迫切的需要。
3.4终端管理及移动存储介质管理。
在日常的网络维护中,来自终端的安全威胁是最大的。终端任何不当甚至恶意的操作都可能对网络安全造成影响,因此必须对于终端的行为做出一定的控制。控制采用c/s方式进行,在服务器端发布安全策略,终端安装安全**软件限制用户行为。
可行的策略包括禁止网络文件共享,关闭主机的u口、com口、串口,禁止终端安装软件,监控终端的拨号外联行为,监控终端的启动服务、运行进程等。终端的安全**软件隐藏运行,当发现有不符合安全策略的行为发生时,按照规则做出反应。
重要服务器和用户终端的并口、串口、usb接口等数据接口以及软驱光驱等设备应该采取安全控制措施,防止被非授权使用。
3.5网络出口访问速度。
商场出口带宽目前仅仅有2个10m接入互联网,商场日常承载人数已到1000人/日,带宽已捉襟见肘,已无法满足顾客的正常应用体验,尤其是http**体验、web****体验、p2p**体验,仅仅依靠出口扩容也不能完全解决用户体验问题。
3.6 it运维集中管理。
机房中心拥有各种不同厂商、不同类型的设备,支撑着用户日常工作。面对如此庞杂的异构网络环境,维护网络设备、服务器数量众多、品牌众多,维护工作量太大;无法及时发现网络故障和系统故障原因;管理员无法整体掌控网络和系统运**况;管理员无法掌控未来网络及系统运行的趋势;无法对维护人员的工作内容进行有效记录和考核;没有形成符合国际规范的运维管理制度体系等等。而这些问题将随着各类信息系统的建设进一步扩大并会产生新的维护管理问题,严重威胁着系统网络的稳健运行。
如何实现对全网进行全面、统。
一、准确、及时的管理,保障系统网络以及依系统网络运行的各应用系统的稳定、安全运行成为用户需首要解决的问题。
第四:xxxx商场安全防护方案设计。
针对xxxx商场现有网络结构现状,以及未来业务扩展需求,建立基本的商场网络安全防护和运维体系。基础网络信息安全防护体系包括:互联网出口安全网关(防火墙、ips入侵防护、**防病毒网关)、互联网上网行为管理、内网终端安全及移动存储介质管理、it运维网络管理系统。
通过上述四个系统的建设,能够基本满足xxxx商场现有安全管理需求。
xxxx商场网络安全防护体系示意图。
4.1互联网出口安全网关。
1800s-h-v2多核安全网关是推出的的新一代多功能安全网关产品,它主要是面中小企业、网吧、酒店、**机关等网络使用环境,1800s-h-v2安全网关采用了领先的64位多核mips体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、ips、vpn、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升,1800s-h-v2安全网关支持的如防arp 欺骗、上网行为管理、带宽管理、多pppoe链路**和用户认证等诸多丰富的功能特性,让它成为了中小型网络安全部署的首选产品。1800s-h-v2安全网关提供5个ge接口,可充分满足中小型网络对于安全设备的接口使用需求。
1. 1800s-h-v2安全网关拥有先进的安全防护功能,除具有高级状态检测包过滤技术外,还支持对应用层报文进行检测和过滤,可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略,1800s-h-v2的alg功能还支持对ftp、http、ms-rpc、h.323、rtsp、sip、rsa、sqlnetv2等应用层协议进行状态监控。
2. 1800s-h-v2安全网关采用基于硬件加速方案的高效专业防病毒引擎,结合会话流智能病毒扫描技术,能够对http、ftp、pop3、smtp、imap等应用协议进行**实时病毒查杀,多核安全网关采用了创新性的病毒检测技术,能将接收数据和病毒扫描同步进行,并对扫描的文件大小及数量没有限制,该技术在提升防病毒吞吐量的同时也降低了延迟。
3. 1800s-h-v2安全网关提供基于深度应用识别的入侵防御解决方案,能有效防范网络中各种复杂的应用攻击,1800s-h-v2安全网关支持超过3000种以上的攻击检测和防御,并以强大的多核处理器为后盾,能为用户提供强劲精准的入侵防御功能。
4. 1800s-h-v2安全网关采用的多核mips处理器提供了强大的vpn加解密性能,在功能上支持包括ipsec、gre、ssl、l2tp等多种vpn业务,可提供包括星型vpn、动态vpn、速连vpn等诸多vpn组网技术及组网方案,1800s-h-v2安全网关的ssl vpn支持用户名及usbkey双因素认证技术、单点登录技术、客户端安全完整性检查技术、主机绑定技术等,这些为客户端的远程接入提供了安全便捷的手段,此外,对于gre的支持也为用户在vpn组网上提供了更多的选择。
网络安全解决方案
本方案为某大型局域网网络安全解决方案,包括原有网络系统分析 安全需求分析 安全目标的确立 安全体系结构的设计 等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。1.将安全策略 硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络...
网络安全解决方案
当前企业之间的竞争不仅是其业务产品本身的竞争,而是面临着从产品研发 宣传和推广到企业整体信息化系统的深入使用而达到的其整体运营能力的竞争。erp系统 oa办公系统等各类功能系统的大范围深入使用带来了企业整体生产力的变革,从而极大地推动了企业整体运营能力的提高,进而其整体系统的安全管控和运维体系建设也...
网络安全整体解决方案
一 现状分析。随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于internet intranet环境中。但是,internet所具有的开放性 国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业 社会...